2004-06-21 [長年日記]
_ [Wiki][Security] Hiki の脆弱性に関する注意喚起
Hiki のバージョン 0.6.3 以前の全てのバージョン (つまり昨日までの全リリース) に深刻な脆弱性が発見されました。 結果として、遠隔から第三者が HTTP サーバのユーザ権限を取得する可能性があります。 [追記] 正確には Hiki の CGI を実行するユーザ権限です。
すでに修正済みの 0.6.4 がリリースされています。CVS の HEAD ([追記] 0.7-devel-20040618 以降) および v0_6 ブランチも修正されています。 ご利用の方は速やかにアップデートしてくださるようお願いします。
Hiki 0.4 系からのアップデートについては、できるだけ負荷なく移行できるように、Hiki 0.4 系での hikiconf.rb をそのまま最新版に流用しても動くようにしてあります。もちろん、詳しくは同梱の doc/INSTALL.txt をご覧ください。
なお、今回の修正にあわせて mod_ruby hiki パッチも更新しました。今朝時点の CVS HEAD からの差分を置いておきます。 → mod_ruby-hiki-20030621.patch
[追記] 取り急ぎ hiki-dev ML および ruby-list ML に投稿し、/.J にたれこみました。今日は図らずも mod_ruby hiki がその真価を発揮することになるのかな。
[追記 2] /.J に掲載されました。
[追記 3] セキュリティホール memo に掲載されました。
[追記 4] 今回の脆弱性に関する Q&A
- Q
- rd+ スタイルでも問題がありますか?
- A
- はい。今回の脆弱性は Hiki 本体の問題であり、使用しているスタイルやプラグインに関らず脆弱性が存在します。
- Q
- POST メソッドに認証をかけていても問題がありますか?
- A
- はい。GET も含めて Hiki へのアクセスそのものに認証をかけていない限り、セキュリティ上の問題があります。
- Q
- Hiki の一部を元にしている qwikWebにも問題がありますか?
- A
- いいえ。すくなくとも今回私が発見および修正した Hiki の脆弱性に関して、qwikWeb が無関係であることを確認しています。
[追記 5] いくつかの指摘をいただいたので、アナウンスを若干加筆修正しました。
_ [Security] 脆弱性対策コードのコミットの時期
さて今回の件について、脆弱性発見から公開へのプロセスはだいたい分かっていたつもりですが、脆弱性対策のコードをレポジトリにコミットする時期はいつがいいのかがよく分かりませんでした。
結局、リリースへの準備期間を確保できる程度にぎりぎりまでコミットするのは遅らせて、その間にたけうちさんを含めた数人とのメールのやりとりでコードの検証をする、という選択をしたのですが、このあたりどうするのが一般的なのでしょうか?
_ slashdotted 受け入れ体制
そんなわけで、今日はホスティング中の namaraii.com およびこの日記に一時的にアクセスが集中するのは予想していましたので、これまでの運用の記録を元に、スワップがあまり発生しないレベルまで MaxClients を減らしておきました。
結果として、mod_ruby hiki の効果もあり、さほど応答が悪くなることなく運用できた気がしていますが、いかがだったでしょうか?
表示までにかかる時間ということなら、うちは全然大丈夫でしたよ。さくさく。
アナウンスを改訂したのであれば、アナウンス文に改訂履歴をつけたほうがいいのでは?<br>あるいは、アナウンス文とは別に、脆弱性報告についての文章を書き起こし、概要(詳細レベルである必要はない)を公表したほうがいいと思います。(これは、一定期間経過後で構わないでしょう)<br>あと、Q&Aの『Q1.rd+スタイル〜 』に対する回答は、『A1.“Hiki”本体の問題であり、使用しているスタイル、プラグインに関らず、影響を受けます。また、HikiFarmにおいても影響を受けます』(影響があります、でも可)にするとすっきりするかと。(文章の好みの問題ですが)